Здраствуйте!
Проверьте, пожалуйста логи.
Здраствуйте!
Проверьте, пожалуйста логи.
Последний раз редактировалось 17_sqrt_2; 16.04.2009 в 15:38.
Скачать,меню,File,появится аналог проводника,найти:
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.Код:C:\WINDOWS\system32\WinCtrl32.dll C:\WINDOWS\system32\Drivers\Winvb51.sys
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пришлите карантин по правилам и повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Kassir\Local Settings\Application Data\Microsoft\Internet Explorer\proxy.exe',''); QuarantineFile('C:\WINDOWS\superproxy.exe',''); QuarantineFile('C:\WINDOWS\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\svchost.exe',''); DeleteService('Winms05'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winms05.sys',''); DeleteService('WmdmPmSNAudioSrv'); DeleteService('WebClientAudioSrv'); DeleteService('VSSSSDPSRV'); DeleteService('upnphostWebClientAudioSrv'); DeleteService('TermServiceCOMSysApp'); DeleteService('RpcSsRpcSs'); DeleteService('PlugPlayLmHosts'); DeleteService('NtLmSspALG'); DeleteService('MSIServerRemoteAccess'); DeleteService('LmHostsNetman'); QuarantineFile('srv.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Winvb51.sys',''); QuarantineFile('C:\WINDOWS\system32\baseben32.dll',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\baseben32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Winvb51.sys'); DeleteFile('srv.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Winms05.sys'); DeleteFile('C:\WINDOWS\svchost.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\winlogon.exe'); DelWinlogonNotifyByKeyName('WinCtrl32'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(13); RebootWindows(true); end.
Карантин прислал.
Логи повторяю.
WinCtrl32.dll есть на том же месте.
При загрузке системы выскакивает: "superproxy.exe завершен...Отправить отчет?..."
Последний раз редактировалось 17_sqrt_2; 16.04.2009 в 15:38.
В IceSword сделайте этим файлам Force Delete:
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:C:\WINDOWS\system32\WinCtrl32.dll (если есть что-то похожее тоже удалить) C:\WINDOWS\system32\Drivers\Winch73.sys
Повторите логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Winch73.sys'); DeleteFile('WinCtrl32.dll'); DeleteDirectory('C:\WINDOWS\superproxy.exe'); DeleteFile('c:\documents and settings\kassir\local settings\application data\microsoft\internet explorer\proxy.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Winch73'); BC_Activate; RebootWindows(true); end.
C:\WINDOWS\system32\DRIVERS\tcpip.sys - пришлите вот этот файл по Правилам.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Повторяю логи.
В хайджэке ведь что-то тоже надо пофиксить?
Как прислать tcpip.sys? Как карантин или к сообщению прикрепить?
Последний раз редактировалось 17_sqrt_2; 16.04.2009 в 15:38.
Пофиксить
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Пришлите карантин по правилам и повторите логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); DeleteService('ThemesRpcSs'); DeleteService('DhcpSpooler'); DeleteFile('srv.exe'); DeleteFile('C:\WINDOWS\superproxy.exe'); SysCleanAddFile('superproxy.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('ThemesRpcSs'); BC_DeleteSvc('DhcpSpooler'); BC_QrSvc('Tcpip'); BC_Activate; RebootWindows(true); end.
Сделано.
А подскажите, как свои старые вложения удалять, что-то не могу найти.
Последний раз редактировалось 17_sqrt_2; 16.04.2009 в 15:38.
В логах чисто, жалобы есть?
Жалоб нет. Есть подозрения:
C:\Windows\dialupass.exe
C:\Windows\mspass.exe
C:\Windows\netpass.exe
C:\Windows\Temp\linux
...Какие-то странные скрытые файлы
Все в архив под пароль "virus" и прислать
Вложения удалять через "Мой кабинет".
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) 17_sqrt_2, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.